вы про
эту статью ?
HTTP_HOST это то что в заголовках приходит от клиента (межет быть подменено).
SERVER_NAME то что прописано в настройках веб сервера (не подменяется).
проблема только если на сервере ваш скрипт запускается как default host. там можно подменить оба, но тут уже проблема юзера который так настроил.
если боитесь xss через host, экрайнируйте его при выводе.
sql inj в наше время вряд ли допустите.
